Bugün yöneticimden bir web formu uygulamasının kimlik doğrulaması için kabul edilebilir bir tasarım olarak kabul edilen tasarım hakkındaki düşüncelerimi sordum, özellikle de birçok popüler tarayıcının doğası ile ilgili olarak tipik kullanıcı adı parola giriş alanlarınız için "Parolayı Anımsa" .
Kabul edilebilir olduğunu düşündüğüm bir cevap bulmakta zorlanıyorum. Sony'nin güvenlik kusurlarını ışığında, insanlarda depolanan veriler daha düşük bir duyarlılığa sahip olsa da, gerçekten dikkatli olmak istiyorum. Sosyal güvenlik numaralarını ve hatta adresleri saklamıyoruz, ancak telefon numaralarını, e-posta adreslerini ve bir ziyaretçinin fotoğrafını saklıyoruz.
Bir kullanıcının genel bir terminalde Parolayı Basitçe Hatırlayabileceğinden endişe duyar, o zaman birisi bu terminale atlayabilir ve verileri yetkisiz bir şekilde görüntülemeye veya değiştirmeye başlayabilir. Ancak, en azından Windows iş istasyonlarında, tarayıcının Windows kullanıcı hesapları arasında "Parolayı Anımsa" olmayacağından oldukça eminim.
Bunun ötesinde sunucu tarafında tek yönlü bir şifre şifrelemesi uyguluyorum (veritabanında şifrelenmiş şifreyi saklayın, sunucuda kullanıcı tarafından sağlanan şifreyi şifreleyin, veritabanından şifrelenmiş dizeyle karşılaştırın). SSL şifrelemesini dahil etmek için acil bir plan yoktur, ancak bu hala bir seçenektir.
Bu yaklaşımla ilgili önemli güvenlik kusurları var mı? Daha iyi bir öneriniz var mı?